Categories: セキュリティ

Continuous Trusted Access に向けて進化するシスコの戦略的ビジョン

この記事は、Zero Trust and Duo Security の General Manager である Ash Devata によるブログ「Evolving Our Strategic Vision to Continuous Trusted Access」(2022/6/6)の抄訳です。

人々の働き方やビジネスの方法が変化しています。過去 10 年間にわたって続いてきた情報技術のトレンドは、世界的なコロナ禍によってこの 2 年間で急激に加速しています。組織は、通常であれば数年かかるプロジェクトを数か月、数週間に短縮しています。在宅勤務への移行が進むにつれて、クラウドソリューションの採用、リモートアクセス制御の再定義、デバイスや場所を問わずに働ける環境の構築といった取り組みを進めることが最優先事項になりました。

こうした移行への取り組みが落ち着いてきた今、IT 環境はかつてないほど複雑になっています。企業リソースへの安全なアクセスを提供するために従業員の状況を評価する際には、はるかに多くの要素を考慮しなければならなくなりました。企業ネットワーク内のユーザーか、あるいは管理対象デバイスを使用しているかを基準にユーザーに信頼を割り当てる方法は単純すぎて、もはや採用できません。

では、どうすればよいのでしょうか?皆様にお勧めしたい出発点となるのがゼロトラストの原則です。この原則をシンプルに表すと「信頼は『できる』『できない』と断定できるものでも永続するものでもない」ということです。急激に複雑さが増していることを考えると、信頼が短時間しか維持されないという問題に対処する方法の 1 つは、ユーザーに再認証や再承認を頻繁に求めることです。信頼できるか分からなくなったら、信頼を失効させて、また信頼を構築し直してもらえばよいのです。

もちろん、セッションの長さを短くして手間を増やせば、ユーザーだけでなくヘルプデスクや管理者にも負担をかけることになります。また、IT のコンシューマライゼーションのトレンドは、シームレスなアクセスエクスペリエンスをユーザーが期待しており、その期待に応える価値があることを示しています。

ワークフォースのスムーズなユーザーエクスペリエンスを維持しながら安全なアクセスを提供するために、シスコでは Continuous Trusted Access というビジョンを掲げています。

Continuous Trusted Access では、エンドユーザーの負担を軽減するために、ユーザーとデバイスの信頼性をバックグラウンドで一貫して評価し、現在のリスクレベルに基づいて適切なアクセスエクスペリエンスを適用します。このビジョンが目標としているのは、ログイン前もログイン後もユーザーのリスクを継続的に評価することによって、状況に応じた対応を行えるようにすることです。ユーザーとデバイスを信頼できる場合は素早いアクセスを提供し、リスクがある場合はセキュリティ要件を引き上げます。

ログイン時だけでなく、確立されたセッション全体でコンテキストとリスクを評価する機能を導入することで、Continuous Trusted Access のビジョンが実現されます。このビジョンを実現するための最初のステップは、今日の企業 IT の実情を反映する機能が組み込まれた最新式のリスクベース認証を導入することです。シスコでは、今年の夏にリスクベース認証の機能セットをすべてのお客様にプレビュー用にご提供する予定です。その後、セッション全体でリスク評価の構築を続けていきます。簡単に解決できる問題ではありませんが、シスコでは機能を構築する際の指針として次の原則を打ち立てています。

1. ユーザーのプライバシーを維持する

セキュリティという大義名分があればプライバシーに関わるデータを収集しても許されると考えている企業が多いようですが、シスコでは、プライバシーはデジタル権の 1 つであるという立場を堅持しています。リスクに関する決定の判断材料となるコンテキストシグナルを収集する場合、シスコでは最高レベルの個人プライバシーを維持することを目標としています。たとえばシスコのツールでは、GPS 信号から位置情報を得る代わりに、より簡単に匿名化できるデータに焦点を合わせています。

2. オープンなエコシステムを育成する

リスクとコンテキストの継続的な評価を適切に行うには、業界が連携して取り組む必要があると考えています。したがってシスコでは Shared Signals and Events フレームワークなどのオープンスタンダードに投資しています。このフレームワークは、関連するシグナルをツール間やベンダー間で共有するためのより簡単なメカニズムを提供します。シスコは、Shared Signals and Events の最初のリファレンスアーキテクチャを構築するとともに、Box 社などの重要な企業と提携して業界のコラボレーションを促進しています。

3. シグナルと制御のイノベーション

Continuous Trusted Access を追求していく中で、シスコは安全なアクセスにおけるリスクシグナルと制御の両方の要素についてイノベーションを進めていきます。シグナルについては、IP アドレスなどの従来のメカニズムを使用せずにユーザーコンテキストを検出して評価する新しい方法を開発することを計画しています。たとえば、ユーザーの Wi-Fi フィンガープリントを使用してユーザーの現在地を推測し、Wi-Fi フィンガープリントが変化したらその位置の変化を検出する方法などがあります。このシグナルは位置情報を中継するまったく新しい方法であり、Cisco Secure が特許出願中です。制御については、検証済みプッシュなどの新しいアクセスエクスペリエンスを導入して、高いリスクが検出されたケースで強力なセキュリティを提供します。

世界がますます複雑化していく中で、Cisco Secure は、ユーザーに不要な負担をかけないゼロトラストセキュリティの理想を組織が実現できるように取り組んでいます。
パスワードレス認証の提供から始まったこの取り組みは、リスクに応じて変わる継続的な対応をソリューションに組み込んでいく取り組みとして続いています。最終的にシスコが目指しているものは、セキュリティチームが復元力を確保し、あらゆる事態に対応できるよう支援することです。

シスコの取り組みの詳細については、Continuous Trusted Access のページをご覧ください。また最新情報の配信にご登録いただくと、シスコの製品開発に関する最新ニュースをお届けします。

 

村上 英樹

シスコでハイタッチ SE を経験後、

セキュリティ担当テクニカル・ソリューションズ・アーキテクトとして、

エンタープライズ、サービスプロバイダ様のセキュリティ案件サポートを行い

多くのお客様にシスコセキュリティソリューションを提案。

現在は、Duo Security専任エンジニアとして活動中!

テニスを愛するセキュリティエンジニア。